Seguridad

¿Qué es la Criptología?. El arte de escribir con clave secreta. La ciencia de desentrañar los secretos de la criptografía. La combinación de la criptografía y el criptoanálisis.

¿Cuáles son los cuatro pilares fundamentales que busca garantizar la criptografía moderna?. Confidencialidad, Integridad, Disponibilidad, Autenticación y No Repudio. Confidencialidad, Flexibilidad, Accesibilidad y No Repudio. Privacidad, Seguridad, Eficiencia y Escalabilidad.

Según Claude Shannon, ¿qué concepto oculta la relación entre el texto en claro y el cifrado?. Difusión. Sustitución. Confusión.

En los criptosistemas simétricos, ¿cuántas claves se comparten entre emisor y receptor?. Una clave pública y una clave privada. Una única clave k. Múltiples claves aleatorias.

¿Cuál de los siguientes es un algoritmo clásico de cifrado?. AES. DES. Cifrado por sustitución.

¿Por qué el DES (Data Encryption Standard) se considera hoy en día inseguro?. Su clave de 128 bits es demasiado corta. Su clave de 56 bits puede ser rota por fuerza bruta en pocas horas. No soporta bloques de datos de tamaño suficiente.

¿Cuál es el estándar actual de cifrado simétrico?. DES. AES (Advanced Encryption Standard). RSA.

En los criptosistemas asimétricos, ¿qué tipo de pareja de claves se utiliza?. Una clave pública y una clave pública. Una clave privada y una clave privada. Una clave pública y una clave privada.

¿Para qué se utiliza el cifrado en los criptosistemas asimétricos al enviar un mensaje a B?. A cifra con su clave privada y B descifra con su clave pública. A cifra con su clave pública y B descifra con su clave privada. A cifra con la clave pública de B y B descifra con su clave privada.

¿Cómo se autentica un mensaje en un criptosistema asimétrico para asegurar el no repudio?. El emisor cifra el mensaje con su clave pública. El emisor cifra el mensaje con su clave privada. El emisor firma el mensaje con su clave privada.

¿Qué algoritmo asimétrico se basa en la dificultad de factorizar números primos grandes?. Diffie-Hellman (DH). RSA. AES.

¿Cuál es el propósito del algoritmo Diffie-Hellman (DH)?. Cifrar datos de forma directa. Firmar digitalmente mensajes. Acordar una clave de sesión segura a través de un canal inseguro.

¿Qué es la Criptografía Híbrida?. Un sistema que solo utiliza cifrado simétrico. Un sistema que solo utiliza cifrado asimétrico. Una combinación de cifrado asimétrico y simétrico para mayor eficiencia.

¿Qué es un Certificado Digital (X.509)?. Un algoritmo de cifrado simétrico. Un fichero que vincula una clave pública con la identidad de su propietario. Un método para generar contraseñas seguras.

¿Qué ataque previene un Certificado Digital?. Ataques de fuerza bruta. Ataques Man-In-The-Middle. Ataques de denegación de servicio.

¿Qué protocolos proporcionan seguridad en la capa de transporte para aplicaciones como HTTPS?. HTTP y FTP. SSL y TLS. SSH y Telnet.

¿Cuáles de los siguientes protocolos de seguridad se consideran en desuso?. TLS 1.2 y TLS 1.3. SSL 2.0, SSL 3.0, TLS 1.0 y TLS 1.1. HTTPS y FTPS.

¿Cuál es el primer paso principal en la Negociación TLS (Handshake)?. Key Exchange. Encrypted Tunnel. Server Certificate Check.

¿Qué organización mantiene la lista CVE (Common Vulnerabilities and Exposures)?. NIST. MITRE Corporation. CERT.

¿Qué significa NIST en el contexto de estandarización de vulnerabilidades?. Network Intrusion Security Team. National Institute of Standards and Technology. Network Information System Technology.

¿Qué es el NVD (National Vulnerability Database)?. Una base de datos de ataques conocidos. Un diccionario de productos tecnológicos. Una base de datos que cataloga todas las vulnerabilidades conocidas.

¿Qué es un CERT (Computer Emergency Response Team)?. Un equipo encargado de desarrollar software seguro. Un equipo que coordina la respuesta a emergencias informáticas. Una herramienta para la detección de malware.

¿Cuál es la función principal de un CSIRT en España para el sector público?. INCIBE-CERT. ESPDEF-CERT. CCN-CERT.

¿Qué sistema de puntuación permite priorizar la gravedad de las vulnerabilidades?. EPSS. FIRST. CVSS.

¿Qué proyecto se centra en combatir la inseguridad del software web?. MITRE ATT&CK. OWASP. FIRST.

¿Qué modelo de seguridad se basa en el principio de que ya no existe un 'perímetro' seguro?. Security by Default. Zero Trust (Confianza Cero). DevSecOps.

¿Cómo operan principalmente los antivirus clásicos?. Mediante análisis de comportamiento avanzado. Mediante firmas (secuencias de bytes conocidas) y heurística. Mediante inteligencia artificial y aprendizaje automático.

¿Qué tipo de malware es particularmente difícil de detectar para los motores de firmas de los antivirus clásicos?. Virus conocidos y troyanos. Malware polimórfico y amenazas de día cero (zero-day). Adware y Spyware.

¿Qué es el 'Breakout time' (Tiempo de fuga)?. El tiempo que tarda un ataque en ser detectado. El tiempo que tarda un adversario desde la entrada inicial hasta los movimientos laterales. El tiempo que un usuario tarda en recuperar el acceso tras un incidente.

¿Qué porcentaje de las brechas de seguridad en 2023 no usaron malware?. Alrededor del 32%. Alrededor del 68%. Menos del 10%.

¿Qué nuevo paradigma sustituye al antivirus tradicional?. Firewall de próxima generación. EDR (Endpoint Detection & Response). Sistema de prevención de intrusiones (IPS).

¿Cuál de los siguientes NO es uno de los cinco pilares fundamentales del EDR?. Prevención. Detección. Respuesta Automática de Incidentes (AIR).

¿Qué significa MFA (Multi-Factor Authentication)?. Un método de cifrado que utiliza múltiples factores. Un sistema que requiere dos o más factores de autenticación. Un tipo de cortafuegos avanzado.

¿Por qué el email no se considera un buen segundo factor de autenticación?. Porque es demasiado lento. Porque puede ser comprometido por el mismo canal que el primer factor. Porque requiere una conexión a internet constante.

¿Qué normativa es la base para la protección de datos en España y la Unión Europea?. HIPAA y CCPA. RGPD y LOPDGDD. GDPR y CCPA.

¿Qué incluye la definición de 'dato de carácter personal' según el RGPD?. Solo el nombre y la dirección. Cualquier información que identifique o permita identificar a una persona física. Solo información sensible como datos biométricos.

¿Cuál es uno de los principios fundamentales del tratamiento de datos según el Art. 5 RGPD?. Recopilar la mayor cantidad de datos posible. Tratar los datos de forma lícita, leal y transparente. Conservar los datos indefinidamente.

¿Qué se requiere para que el tratamiento de datos sea lícito, además del consentimiento?. Una relación contractual, una obligación legal o interés legítimo prevalente. Solo el consentimiento explícito del interesado. La aprobación de una autoridad gubernamental.

¿Qué figura es el garante independiente del cumplimiento normativo en protección de datos?. Responsable del Tratamiento. Encargado del Tratamiento. Delegado de Protección de Datos (DPD/DPO).

¿Qué categoría de datos incluye ideología, religión, salud y datos biométricos?. Datos Básicos. Datos Medios. Datos de Categorías Especiales (Alto).

¿Cuál es el plazo que tiene el responsable para responder a las solicitudes de derechos de las personas?. 15 días. Un mes. Tres meses.

¿Qué derecho digital incluye la neutralidad de Internet?. Derecho al olvido. Derecho a la desconexión digital. Derechos Digitales (en general).

¿A partir de qué edad un menor puede dar su propio consentimiento para el tratamiento de sus datos?. 16 años. 14 años. 18 años.

¿Qué norma es certificable internacionalmente para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI)?. ENS. ISO 27001. MAGERIT.

¿Qué es SPF (Sender Policy Framework)?. Un protocolo para el cifrado de emails. Un registro DNS TXT que autoriza IPs para enviar correos en nombre de un dominio. Un sistema para detectar spam.

¿Cómo se define el 'Breakout time'?. El tiempo que tarda un sistema en recuperarse de un ataque. El tiempo que tarda un adversario en moverse lateralmente por la red tras la entrada inicial. El tiempo que un usuario tarda en responder a una alerta de seguridad.

¿Qué es THC-Hydra?. Un algoritmo de cifrado simétrico. Una herramienta para realizar ataques de fuerza bruta o diccionario. Un protocolo de red para la transferencia de archivos.

¿Cuál es la característica principal de RAID 5 en cuanto a protección de datos?. Duplica la información en dos discos (espejo). Suma capacidades pero no ofrece redundancia. Utiliza paridad distribuida para permitir el fallo de un disco sin pérdida de datos.

¿Qué mide el RPO (Recovery Point Objective)?. El tiempo máximo permitido de parada tras un incidente. La cantidad de datos que se asumen como perdidos en un desastre. La frecuencia con la que se realizan las copias de seguridad.

¿Qué mide el RTO (Recovery Time Objective)?. La cantidad de datos perdidos en un desastre. El tiempo máximo permitido de parada para restaurar un proceso de negocio. El tiempo necesario para realizar una copia de seguridad completa.

¿Qué es el Modo Quiesce en el contexto de backups?. Un método de compresión de datos. Pausar brevemente la actividad del sistema para asegurar la consistencia de los datos durante la copia. Un tipo de cifrado para las copias de seguridad.

¿Qué herramienta se utiliza para capturar tráfico de red y analizar fases de negociación HTTPS/TLS?. Nmap. Wireshark. Metasploit.

¿Qué es el jamming en el espectro radioeléctrico?. La asignación de frecuencias a servicios. La interferencia intencionada de señales. La transmisión de datos en bandas libres.

¿Por qué los sistemas operativos modernos generan MACs privadas aleatorias para WiFi?. Para mejorar la velocidad de conexión. Para evitar el seguimiento constante al buscar redes WiFi. Para asegurar la encriptación de la red.

¿Cuál de los siguientes estándares de cifrado WiFi se considera totalmente inseguro?. WPA2 (AES). WPA3. WEP.

¿Qué estándar de cifrado WiFi es el más seguro actualmente y usa SAE?. WPA (TKIP). WPA2 (AES). WPA3.

¿Qué protocolo de comunicación por radio es vulnerable a ataques de jamming y alteración de coordenadas?. Bluetooth. LoRaWAN. GPS.

¿Qué es una Amenaza en el contexto de la gestión de riesgos?. La probabilidad de que ocurra un incidente. Cualquier acción que aprovecha una vulnerabilidad para atentar contra la seguridad. Las pérdidas o daños causados por un incidente.

¿Qué mide la 'probabilidad' en el cálculo del riesgo (Riesgo = f(probabilidad, vulnerabilidad, impacto))?. La magnitud del daño potencial. La frecuencia o posibilidad de que una amenaza se materialice. La existencia de debilidades internas.

¿Cuál de estas es una estrategia de gestión de riesgos?. Ignorar el riesgo. Asumir el riesgo. Transferir el riesgo (ej. mediante seguros). Reducir el riesgo (implantando controles). Todas las anteriores.

¿Qué tipo de salvaguardas son los Antivirus y Firewalls?. Preventivas. Detectivas. Tecnológicas.

¿Qué metodología de gestión de riesgos fue elaborada por el Consejo Superior de la Administración Electrónica en España?. OCTAVE. MAGERIT. ISO 27001.

¿Qué significa la obligatoriedad de HTTPS?. Todo el tráfico web debe usar el puerto 80. No debe existir tráfico HTTP en claro; se deben usar redirecciones a HTTPS (puerto 443). Solo las transacciones de pago requieren HTTPS.

¿Cuál es el método HTTP preferido y más seguro para enviar información sensible?. GET. POST. PUT.

¿Qué código de respuesta HTTP indica un error del cliente (ej. página no encontrada)?. 200 (OK). 30x (Redirecciones). 40x (Errores del cliente).

¿Qué cabecera HTTP previene ataques de clickjacking?. Content-Security-Policy (CSP). Strict-Transport-Security (HSTS). X-Frame-Options.

¿Qué es un archivo Robots.txt?. Un registro de auditoría de accesos. Un fichero que intenta controlar el acceso de los rastreadores de Internet. Un certificado digital para servidores web.

¿Qué tipo de vulnerabilidades se eliminan por diseño utilizando frameworks modernos de desarrollo?. Vulnerabilidades de red. Vulnerabilidades de SQL Injection y XSS. Vulnerabilidades de hardware.

¿Qué mecanismo de defensa de red integra FW, IDS/IPS y WAF, y es capaz de identificar aplicaciones y usuarios?. Firewall Tradicional. IPS (Intrusion Protection System). NGFW (Next Generation Firewall).

¿Qué crea una VPN (Virtual Private Network)?. Una red de proxies anónimos. Un túnel privado sobre redes públicas para dar seguridad. Un sistema de detección de intrusiones.

¿Qué es ZTNA (Zero Trust Network Access)?. Un método para crear redes WiFi abiertas. Un modelo que autentica cada intento de acceso a recursos específicos. Una técnica para el cifrado de datos en la nube.

¿Qué arquitecturas de red se caracterizan por una conexión directa al servidor?. NAS. SAN. DAS (Direct-Attached Storage).

¿Qué tecnología de disco ha desplazado casi por completo a los discos rotacionales debido a su velocidad de acceso?. Discos Duros Magnéticos (HDD). Discos de Estado Sólido (SSD). Discos Ópticos (CD/DVD).

¿Qué técnica de protección RAID utiliza paridad distribuida y requiere al menos tres discos?. RAID 0. RAID 1. RAID 5.

¿Qué son los Backups Inmutables (WORM)?. Copias de seguridad que se eliminan automáticamente tras un tiempo. Copias que no pueden alterarse ni borrarse hasta que finalice su vida útil. Copias cifradas con un algoritmo inmutable.

¿Qué implica la Regla 3-2-1 para las copias de seguridad?. 3 copias, en 2 soportes diferentes, y 1 de ellas offline. 3 copias, en 1 soporte diferente, y 2 de ellas offline. 2 copias, en 3 soportes diferentes, y 1 de ellas offline.

¿Qué técnica de backup comprime datos eliminando bloques repetidos?. Backup incremental. Deduplicación. Backup completo.

¿Qué es Jamming en redes inalámbricas?. La interferencia intencionada de señales para interrumpir comunicaciones. La autenticación de dispositivos mediante Bluetooth. El uso de balizas para marketing.

¿Qué identificador único de 48 bits se utiliza para los adaptadores de red?. IMEI. IMSI. Dirección MAC.

¿Qué estándar de cifrado WiFi fue una solución temporal para los fallos de WEP?. WPA2 (AES). WPA (TKIP). OWE.

¿Qué tecnología móvil destaca por su baja latencia (1ms) y alta capacidad, aunque su seguridad está descentralizada?. 4G/LTE. 2G/GSM. 5G.

¿Qué protocolo de seguridad permite cifrar automáticamente comunicaciones en redes WiFi que aparecen como 'abiertas'?. WPA3. WEP. OWE (Enhanced Open).

¿Qué ataque es común en Bluetooth y consiste en el robo de datos?. Eavesdropping. Bluesnarfing. Bluebugging.

¿Para qué se utiliza el GPS (Sistema de Posicionamiento Global)?. Para comunicaciones de radio de corto alcance. Para la triangulación de señales de satélites para determinar la posición. Para la transmisión de datos en redes de larga distancia.

¿Qué es un ataque de SQL Injection (SQLi)?. Un ataque que explota vulnerabilidades en el código de una aplicación web para manipular bases de datos. Un ataque de fuerza bruta contra contraseñas de bases de datos. Un ataque de denegación de servicio a servidores de bases de datos.

¿Qué norma internacional certificable se utiliza para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI)?. ENS (Esquema Nacional de Seguridad). ISO 27001. MAGERIT.

¿Qué define el ENS (Esquema Nacional de Seguridad)?. Los requisitos mínimos de seguridad para la Administración Pública y sus proveedores. Los estándares de privacidad de datos en la UE. Los protocolos de seguridad para redes inalámbricas.

¿Qué son los 'datos biométricos' según la LOPDGDD?. Datos de contacto como nombre y email. Datos de salud y afiliación sindical. Datos derivados de un análisis técnico de un individuo que permiten su identificación unívoca.

¿Cuál es el plazo máximo para que el responsable responda a una solicitud de derechos de las personas?. 15 días. Un mes. Dos meses.

¿Qué se entiende por 'interés legítimo' como base legal para recopilar datos?. Cuando el tratamiento es necesario para proteger la vida del interesado. Cuando los intereses del responsable prevalecen sobre los derechos del interesado, previa ponderación. Cuando existe una relación contractual clara.

¿Qué tipo de comunicación utiliza la señal de 4 satélites para triangular la posición?. Bluetooth. LoRaWAN. GPS.